如何:將 Google 設定為識別提供者
更新日期:2015 年 6 月 19 日
適用對象:Azure
重要
從 2014 年 5 月 19 日起,新的 ACS 命名空間無法使用 Google 作為身分識別提供者。 在此日期之前使用 Google 和註冊的 ACS 命名空間不受影響。 如需詳細資訊,請參閱 版本資訊。
套用至
- Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)
總結
此如何說明如何將 Google 設定為識別提供者 ACS。 將 Google 設定為 ASP.NET Web 應用程式的身分識別提供者,可讓使用者登入其 Google 帳戶,藉以向您的 ASP.NET Web 應用程式進行驗證。
目錄
目標
概觀
步驟摘要
步驟 1 – 建立命名空間
步驟 2 - 將 Google 設定為身分識別提供者
步驟 3 - 設定與信賴憑證者之間的信任
步驟 4 – 設定權杖轉換規則
步驟 5 – 檢閱命名空間公開的端點
目標
建立Microsoft Azure專案和命名空間。
以 Google 作為身分識別提供者來設定要使用的命名空間。
設定信任與權杖轉換規則。
熟悉端點參照、服務清單及中繼資料端點。
概觀
將 Google 設定為身分識別提供者就不需要建立與管理認證和身分識別管理機制。 它能協助使用者執行熟悉的驗證程序 (若有)。 使用 ACS 很容易設定設定,讓您的應用程式能夠立即取用它,並將這類功能提供給使用者。 此「作法」說明如何完成這項工作。 下圖描述設定 ACS 信賴憑證者以供使用的整體流程。
.gif "ACS v2 Workflow")
步驟摘要
若要針對應用程式,將 Google 設定為身分識別提供者,請完成下列步驟:
步驟 1 – 建立命名空間
步驟 2 - 將 Google 設定為身分識別提供者
步驟 3 - 設定與信賴憑證者之間的信任
步驟 4 – 設定權杖轉換規則
步驟 5 – 檢閱命名空間公開的端點
步驟 1 – 建立命名空間
此步驟會在 Azure 專案中建立存取控制命名空間。 若要將 Google 設定為現有命名空間的身分識別提供者,可略過此步驟。
在 Azure 專案中建立存取控制命名空間
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下[Active Directory]。 (疑難排解提示: 「Active Directory」 專案遺失或無法使用)
若要建立存取控制命名空間,請依序按一下 [新增]、[應用程式服務]、[存取控制] 和 [快速建立]。 (或是先按一下 [新增] 再按一下 [存取控制命名空間])。
步驟 2 - 將 Google 設定為身分識別提供者
此步驟顯示如何將 Google 設定為現有命名空間的身分識別提供者。
將 Google 設定為現有命名空間的身分識別提供者
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下[Active Directory]。 (疑難排解提示: 「Active Directory」 專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
在 ACS 入口網站中,按一下 [識別提供者]。
在 [新增身分識別提供者] 頁面上,按一下 [新增],然後選取 [Google]。
在 [新增 Google 身分識別提供者] 頁面上,按一下 [儲存]。
步驟 3 - 設定與信賴憑證者之間的信任
此步驟說明如何在您的應用程式之間設定信任,稱為 信賴憑證者,以及 ACS。
設定信任
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下[Active Directory]。 (疑難排解提示: 「Active Directory」 專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
在 ACS 入口網站中,按一下 [信賴憑證者應用程式 ],然後按一下 [ 新增]。
在 [新增信賴憑證者應用程式] 頁面上,對下列欄位指定下列值:
名稱 - 您選擇的任意名稱。
領域—領域是 ACS 所簽發權杖有效的 URI。
傳回 URL- 傳回 URL 會定義 ACS 針對指定信賴憑證者應用程式將發行的權杖張貼至的 URL。
權杖格式-權杖格式會定義信賴憑證者應用程式的權杖 ACS 問題類型。
權杖加密原則- 選擇性地,ACS 可以加密任何 SAML 1.1 或 SAML 2.0 權杖,以發行給信賴憑證者應用程式。
權杖存留期— 權杖存留期會指定 ACS 發行給信賴憑證者應用程式的權杖存留時間 (TTL) 。
身分識別提供者 - [身分識別提供者] 欄位能讓您指定哪些身分識別提供者要使用您的信賴憑證者應用程式。 請確定選取 Google。
規則群組 - 規則群組包含規則,可定義要將哪些使用者身分識別宣告,從身分識別提供者傳遞至您的信賴憑證者應用程式。
權杖簽署— ACS 會使用 X.509 憑證 (私密金鑰) 或 256 位對稱金鑰簽署它發出的所有安全性權杖。
如需每個欄位的詳細資訊,請參閱 信賴憑證者應用程式。
按一下 [檔案] 。
步驟 4 – 設定權杖轉換規則
此步驟示範如何設定 ACS 傳送至信賴憑證者應用程式的宣告。 例如,Google 預設不會傳送使用者的電子郵件。 您需要設定身分識別提供者,將所需的宣告提供給您的應用程式,並需要設定其轉換方式。 下列程序概述如何新增規則,以便在權杖中傳遞電子郵件地址供應用程式使用。
設定權杖宣告轉換規則
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下[Active Directory]。 (疑難排解提示: 「Active Directory」 專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
在 ACS 入口網站中,按一下 [規則群組 ],然後按一下 [ 新增]。 或者,您可以編輯現有的規則群組。
指定新群組的名稱,然後按一下 [儲存]。
在 [編輯規則群組] 上,按一下 [新增]。
在 [新增宣告規則] 頁面上,指定下列值:
宣告簽發者:選取 [識別提供者 ] 和 [Google]。
輸入宣告類型:選取 [選取類型 ] 和 https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 。
輸入宣告值:選取 [任何]。
輸出宣告類型:選取 [傳遞輸入宣告類型]。
輸出宣告值:選取 [傳遞輸入宣告值]。
(選擇性) 在 [描述] 中新增規則的描述。
在 [編輯規則群組] 和 [規則群組] 頁面上,按一下 [儲存]。
按一下想要的 [信賴憑證者應用程式]。
向下捲動到 [規則群組] 區段,選取新的 [規則群組],然後按一下 [儲存]。
步驟 5 – 檢閱命名空間公開的端點
此步驟可讓您熟悉 ACS 所公開的端點。 例如,ACS 會在設定 ASP.NET Web 應用程式以進行同盟驗證時,公開 FedUtil 所使用的WS-Federation中繼資料端點。
檢閱 ACS 所公開的端點
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
在 ACS 入口網站中,按一下 [應用程式整合]
檢閱 [端點參照] 表。 例如,由 URL 公開的 [WS-同盟] 中繼資料應類似於下列中繼資料 (您的命名空間將不同)。
https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml